Test: Security-Appliance
Stoppt Malware am Gateway
Finjan-SP-6100 – Finjans Midrange-Appliance erkennt versteckte Bedrohungen selbst in »sicheren« Quellen, sie ist aber teuer.
Firewalls und Antivirus-Engines werden zunehmend nutzloser, weil Hacker, Spyware-Entwickler und Crimeware-Syndikate nach und nach herausfinden, wie sie selbst die beste Verteidigung der Enterprise-IT umgehen können. Der Sieg im Kampf gegen Spyware, Systemzerstörung und Datenverlust erfordert einen anderen Ansatz – und vorwärts denkende Hersteller wie Finjan gehen diese Aufgabe direkt an.
Finjans SP-6100-Midrange-Secure-Gateway-Appliance lässt Echtzeit-Verhaltensanalyse von der Kette, um Spyware-Entwicklern, die die innere Arbeitsweise traditioneller URL-Filter und Spyware-Engines inzwischen gut verstehen, in die Suppe zu spucken. Die SP-6100 läuft auf IBM-Server-Hardware und kommt mit Dual-Quad-Core-Xeon-Prozessoren, 2 GByte RAM, Dual-73-GByte-Platten und einem 4-Port-Gigabit-Ethernet-Controller. Die Appliance hebt den auf URLs und Signaturen basierenden Schutz auf eine neue Ebene, indem sie den Code der besuchten Site tatsächlich in Echtzeit in einer Sandbox ausführt. Bei einer Site, die ein traditioneller URL-Filter als sicher einstuft, erkennt Finjans detaillierte Verhaltensprüfung so möglicherweise einen Versuch, auf unerlaubte Veränderungen an der Registry, oder ob die Site versucht eine Dateioperation auf dem lokalen System durchzuführen, ein Toolkit zu installieren, eine .MSI-Datei auf die Platte zu kopieren oder in einer PDF-Datei eingebetteten destruktiven Code auszuführen.
Mit Signaturen arbeitende Verteidigung ist sicherlich schneller als Echtzeit-Verhaltensprüfung, aber sie verlässt sich darauf, dass Antivirus- oder URL-Filter-Hersteller die nötigen Updates schreiben und verteilen. Und das braucht Zeit. Und es hilft nichts, wenn die betreffende Organisation eines der ersten Opfer eines neuen Virus ist.
Während eines ersten Tests verstand die Appliance mit ihren Features und ihrer Bedienerfreundlichkeit zu begeistern. Das Setup war generell eine Kleinigkeit, der einzige mühsame Part bei den Tests war die manuelle Konfiguration der Clients, um die Appliance für diese als ihren Proxy-Server zu installieren. Diese Aufgabe lässt sich durch Einsatz einer optionalen Bridge-Pass-Through-Karte umgehen. Diese Karte verbindet sich über Kreuz mit der externen Firewall-Schnittstelle und erscheint den Clients als transparenter Proxy. So ist dann keine Browser-Konfiguration mehr erforderlich. Fällt die Finjan-Appliance aus, hält die Bridge-Karte die Internetverbindung für die Clients hinter der Firewall aufrecht.
Die Bösen draußen halten
Das beeindruckendste Feature der Finjan-Appliance ist die Fähigkeit, Sites zu scannen und zu blockieren, die versuchen, spezifische Windows- oder Internet-Explorer-Vulnerabilitäten auszunutzen. Die Security- und Scanning-Fähigkeiten der Appliance gewinnen zusätzlich durch die Möglichkeit, auf Signaturen basierende URL- und Virus-Filter von Kaspersky, McAfee, Sophos oder Websense abonnieren zu können. Weitere bemerkenswerte Features sind Finjans Boolean-Logic-Builder und Active-Directory-Integration. Der Logic-Builder erlaubt der IT, benutzerdefinierte Directories zu entwickeln, die sich für Compliance und Datenverlust-Verhinderung oder DLP einsetzen lassen. Die Active-Directory-Integration gestattet dem Administrator, Security- und Authentifizierungsrichtlinien basierend auf Benutzer und Gruppenmitgliedschaften einzusetzen. Die SP-6100 ist zwar keineswegs ein Enterprise-DLP-Produkt, aber sie leistet beim Scanning und der Anwendung von Sicherheitsrichtlinien auf SSL-fähige Sitzungen gute Arbeit als »Mann in der Mitte«.
Kürzlich erfolgte Code-Releases haben die SP-6100 auch zu einer HTTP-Caching-Appliance gemacht – wer Multiprotokoll-Inhaltsbeschleunigung der Enterprise-Klasse sucht, sollte sich aber trotzdem eher bei Herstellern umsehen, die robustere Caching-Features offerieren, beispielsweise Blue Coat. Blue Coat und Finjan ergänzen sich gegenseitig via Internet-Content-Adaption-Protocol oder Web-Cache-Coordination-Protocol. In großen Umgebungen kann es sinnvoll sein, die Stärken beider Systeme zu nutzen und sie parallel einzusetzen.
Lesen Sie mehr zum Thema
